漏洞预警|Apache Commons Configuration远程代码执行漏洞

最新推荐文章于 2023-11-03 18:00:06 发布
最新推荐文章于 2023-11-03 18:00:06 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 漏洞预警 开源安全治理工具 文章标签: apache java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/125674244
版权

开源漏洞预警

近日网上有关于开源项目Apache Commons Configuration远程代码执行漏洞 ,棱镜七彩安全研究院对漏洞进行了验证。

项目介绍

Apache Commons Configuration 是 Apache 基金会下的一个开源项目组件。它提供了一种通用的方式,让 Java 开发者可以使用统一的接口读取不同类型的配置文件。

项目地址

https://commons.apache.org/

代码托管地址

https://github.com/apache/commons-configuration

漏洞概述

该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。

影响版本

2.4 ≤ Apache Commons Configuration ≤ 2.7

Cve编号

CVE-2022-33980

修复方式

解决方案

如何检测组件系统版本

若项目使用 Maven 进行管理,可查看依赖中是否引用了 commons-configuration2,查看版本是否在受影响范围内:

<dependency>

<groupId>org.apache.commons</groupId>

<artifactId>commons-configuration2</artifactId>

<version>2.7</version>

</dependency>

或搜索是否包含如下 Jar 包,查看版本是否在受影响范围内:

修复方案

建议用户升级到 Apache Commons Configuration 2.8.0,默认情况下禁用有问题的插值器。

参考链接

链接地址:

https://commons.apache.org/proper/commons-configuration

https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s

棱镜七彩
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞分析
Jinmindong
01-31 677
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Apache-Configuration-Demo:Apache Commons Configuration 2学习
05-08
Apache配置演示 Apache Commons Configuration 2学习
Apache Commons Configuration 代码注入漏洞(CVE-2022-33980)
weixin_44047654的博客
12-01 1452
Apache Commons Configuration 代码注入漏洞(CVE-2022-33980)
JAVA CGI 远程代码执行_Apache Commons Collections 'InvokerTransformer.java'远程代码执行漏洞...
weixin_29001327的博客
03-04 215
Apache Commons Collections 'InvokerTransformer.Java'远程代码执行漏洞发布日期:2015-11-18更新日期:2015-11-20受影响系统:Apache Group Commons Collections 4.0Apache Group Commons Collections 3.2.1Apache Group Commons Collectio...
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 869
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
Apache Commons Compress拒绝服务漏洞 CVE-2021-35515
最新发布
INSBUG的博客
11-03 252
无论是创建自定义的压缩工具、优化数据传输速度,还是在有限存储空间下进行资源压缩,该库提供了一致的 API 和工具,方便开发人员处理不同压缩格式的需求,从而节省存储空间、提高效率,并简化数据处理过程。代码中pair为从bindpairs中取出的数据,所以如果其为0,那么就会从第一个pair中取数据,然后取的还是0,这也就无线循环了,current永续为0。查看交叉引用,发现其会被readEncodedHeader函数调用,其函数是解析7z压缩包的编码的文件头,该文件头通过NextHeader标识位置。
apache commons工具集代码详解
08-28
主要介绍了apache commons工具集代码详解,具有一定借鉴价值,需要的朋友可以参考下
apache commons configuration 学习
11-23
apache commons 工具包中提供的一个针对配置文件动态修改的工具类
Apache Commons Math3学习之数值积分实例代码
08-29
主要介绍了Apache Commons Math3学习之数值积分实例代码,涉及使用辛普森积分的例子,这里分享给大家,供需要的朋友参考。
commons-configuration2-2.1.1-API文档-中文版.zip
06-26
赠送源代码commons-configuration2-2.1.1-sources.jar; 赠送Maven依赖信息文件:commons-configuration2-2.1.1.pom; 包含翻译后的API文档:commons-configuration2-2.1.1-javadoc-API文档-中文(简体)版.zip; ...
Apache Commons Configuration远程代码执行漏洞CVE-2022-33980)分析&复现
kjcxmx的博客
08-11 3699
Apache Commons ConfigurationApache基金会下的一个开源项目组件。它是一个java应用程序的配置管理工具,提供了一种通用的管理方式,可以从properties或者xml文件中加载软件的配置信息,用来构建支撑软件运行的基础环境。让Java开发者可以使用统一的接口读取不同类型的配置文件。...
Apache Commons Compress内存耗尽漏洞 CVE-2021-35516
INSBUG的博客
10-13 366
随后的0x05标识了这是一个FilesInfo,后面的UINT64标识长度,但是可以发现268435455对应的是0xFFFFFF而不是0xFFFFFFEF,这个原因是因为在7z中UINT和REAL UINT是不同的,这里由于E是0x1110,所以根据以下算法,其int之为0xFFFFFFF,正好对上十进制结果268435455。其补丁对文件的内容进行了合法性检查,并且在修复文档中表示readFilesInfo使用了惰性延迟分配以避免出现内存不足的问题,但是仍不能具体找到漏洞的触发点。构造测试代码执行
Apache Commons-Configuration
埋汰孩的那点事儿
03-22 241
【文章出处】[url]http://wangxin0072000.iteye.com/blog/186009[/url] Apache Commons-configuration 学习笔记 1 如果要使用configuration这个包,首先要保证使用JDK1.2以上,还要引入如下jar包 commons-beanutils commons-lang commons-logg...
Apache Commons-configuration 学习笔记
wangxin0072000的专栏
04-23 170
Apache Commons-configuration 学习笔记 1 如果要使用configuration这个包,首先要保证使用JDK1.2以上,还要引入如下jar包 [list] [*]commons-beanutils [*]commons-lang [*]commons-logging [*]commons-collections [*]commons-digester [...
漏洞分析】Apache Commons Text远程代码执行漏洞CVE-2022-42889)
olga5abl的博客
11-30 4254
这些查找是:-“script”-使用JVM脚本执行引擎(javax.script)执行表达式-“dns”-解析dns记录-“url”-从url加载值,如果使用不受信任的配置值,则受影响版本中使用插值默认值的应用程序,可能容易受到远程代码执行或与远程服务器无意接触的影响。并且这种插值器的性质意味着,将内容输入到易受攻击的对象中的可能性,比仅与Log4Shell中的此类字符串交互的可能性要小。通常在开发过程中用于占位符和动态获取属性的字符串编辑工具包,常用于数据库查询前的语句替换,或者页面输出时的替换。
CVE-2022-42889 Apache Commons Text 漏洞
王嘟嘟的博客
02-28 938
所幸遇到,就简单看看,其中没有啥比较难的地方,仅做记录。10月13日的漏洞
Java反序列化漏洞——CommonsCollections4.0版本—CC2、CC4
Thunderclap的博客
02-18 1547
因为这条利⽤链中的关键类org.apache.commons.collections4.comparators.TransformingComparator ,在commonscollections4.0以前是版本中是没有实现Serializable 接⼝的,⽆法在序列化中使⽤。实际上是可用的,比如CC6的链,引入的时候因为⽼的Gadget中依赖的包名都是org.apache.commons.collections ,⽽新的包名已经变。其他的代码不需要改变,即可创建出新版本下的利用链。
【web安全】Spring Data Commons 1.13.10 SpEL漏洞分析
阿道夫的博客
12-13 91
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可注入恶意SpEL表达式以执行任意命令,漏洞编号为CVE-2018-1273。
关于Apache Common Text存在远程代码执行漏洞
learnworm的专栏
10-24 1312
Apache Common Text漏洞修复
Apache Commons Configuration怎么升级
06-09
Apache Commons Configuration 的升级可以通过以下步骤完成: 1. 打开你的项目,找到使用了 Apache Commons Configuration 的依赖项。 2. 在项目中找到依赖项的版本号,例如 2.1。 3. 访问 Apache Commons Configuration 的官方网站(https://commons.apache.org/proper/commons-configuration/)。 4. 在网站上找到最新版本的 Apache Commons Configuration,例如 2.4。 5. 在项目的依赖项中将版本号更新为最新版本号。 6. 重新编译和构建你的项目,确保没有编译错误。 7. 运行你的项目,确保更新后的 Apache Commons Configuration 正常工作。 注意:在升级 Apache Commons Configuration 时,请仔细阅读它的文档,确保没有重大变化或不兼容的更改,以免影响你的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值